Il y a quelques semaines, l’Institut National de Recherche en Informatique et en Automatique français (l’INRIA) a découvert une faille de sécurité baptisée FREAK (Factoring attack on RSA-EXPORT Keys) qui affecte le système de chiffrement TLS / SSL.
Au début, la faille de sécurité touchait uniquement Android et Safari, mais par la suite, Microsoft a confirmé que FREAK affectait aussi Windows et tous les dispositifs équipés de Windows. Microsoft ajouta que l’infrastructure openSSL à la version antérieure à 1.0.1 était également vulnérable.
Cette faille existerait depuis les années 1990 car des décisions politiques avaient permis que cette faille persiste jusqu’aujourd’hui. En effet le gouvernement des Etats-Unis souhaitait garantir à la NSA une porte de derrière à la codification des communications étrangères comme moyen de contre-espionnage. La pression politique exercée obligea la mise en place d’une méthode de faible cryptage de chiffrement, se traduisant par une codification facile à hacker.Heureusement, Apple et Microsoft ont réagi rapidement dès la découverte de cette brèche et ont mis en place des mises à jour de leur système d’exploitation pour éliminer l’erreur.
Il est fortement recommandé d’actualiser les systèmes d’exploitation de vos dispositifs et d’utiliser un navigateur qui n’est pas soumis à la vulnérabilité, ex : Google Chrome ou Mozilla Firefox.
Après Heartbleed, la découverte d’une nouvelle vulnérabilité suscite à nouveau le débat de la sécurité sur internet.
La sécurité sur internet existe-t-elle réellement?
Sommes-nous réellement en lieu sûr sur internet ? La réponse, contrairement à ce que l’on pourrait penser, est oui. Cette nouvelle vulnérabilité met en évidence que jusqu’alors les mesures de sécurité sont insuffisantes, mais cela ne signifie pas pour autant qu’Internet est un lieu totalement hostile. Ces failles de sécurité de chiffrement sur internet pourraient être dues à un comportement négligeant de certains utilisateurs, développeurs et même politiques malgré l’existence de multiples solutions et outils de sécurité en ligne.
Une enquête mondiale de l’Isaac en 2013 sur la cybersécurité a révélé que :
- 90 % des personnes interrogées considèrent que l’utilisation de sites de réseautage sociaux augmente la probabilité d’une attaque APT concluante (Advanced Persistent Threat ou Menace Avancée Persistante).
- 87 % considèrent que BYOD (« apportez votre propre matériel »), combiné à l’enracinement ou au déverrouillage de l’appareil, augmentent la probabilité d’une attaque APT concluante.
- Plus de 80 % déclarent que leurs entreprises n’ont pas actualisé leurs accords de fournisseurs pour se protéger contre les APT.
Que vous soyez un particulier, une administration ou une entreprise, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) met à disposition bon nombre de guides pratiques que vous pouvez télécharger gratuitement depuis son site internet.
Bonnes pratiques pour les entreprises
Bonnes pratiques pour les administrations
Bonnes pratiques pour les particuliers
Cycle de vie de l’APT (Menace Avancée Persistante)
